OpenSSH 8.8 到货,告别 ssh-rsa 支持、错误修复等

新版本 OpenSSH 8.8 已经发布 和这个新版本 突出显示默认禁用使用数字签名的能力 基于带有 SHA-1 哈希值的 RSA 密钥(“ssh-rsa”)。

结束对“ssh-rsa”签名的支持 是由于碰撞攻击的有效性增加 带有给定的前缀(猜测碰撞的成本估计约为 50 万美元)。 要在系统上测试 ssh-rsa 的使用,您可以尝试通过 ssh 使用选项“-oHostKeyAlgorithms = -ssh-rsa”进行连接。

此外,自 OpenSSH 256 起支持的 SHA-512 和 SHA-2 (rsa-sha256-512 / 7.2) 散列对 RSA 签名的支持没有改变。 在大多数情况下,结束对“ssh-rsa”的支持不需要手动操作。 用户,因为 UpdateHostKeys 设置以前在 OpenSSH 中默认启用,它会自动将客户端转换为更可靠的算法。

此版本使用 SHA-1 散列算法禁用 RSA 签名 默认。 由于 SHA-1 哈希算法是 密码被破坏,并且可以创建选择的前缀 散列冲突由

对于大多数用户来说,这种变化应该是不可见的,并且有 无需更换 ssh-rsa 密钥。 OpenSSH 符合 RFC8332 来自 256 版的 RSA/SHA-512/7.2 签名和现有​​的 ssh-rsa 密钥 只要有可能,它就会自动使用最强的算法。

对于迁移,使用协议扩展“hostkeys@openssh.com”«,这允许服务器在通过身份验证后将所有可用的主机密钥通知客户端。 在客户端连接到具有非常旧版本的 OpenSSH 的主机时,您可以通过添加 ~/.ssh/config 有选择地反转使用“ssh-rsa”签名的能力

新版本 还修复了由 sshd 引起的安全问题,因为 OpenSSH 6.2,在执行 AuthorizedKeysCommand 和 AuthorizedPrincipalsCommand 指令中指定的命令时错误地初始化用户组。

这些指令应该确保命令在不同的用户下运行,但实际上它们继承了启动 sshd 时使用的组列表。 考虑到某些系统配置,这种行为可能允许运行中的控制器在系统上获得额外的权限。

发行说明 它们还包括有关打算更改 scp 实用程序的警告 默认 使用 SFTP 而不是传统的 SCP/RCP 协议。 SFTP 强制执行更可预测的方法名称,并且通过另一主机端的 shell 在文件名中使用全局非处理模式,从而产生安全问题。

特别是在使用 SCP 和 RCP 时,服务器决定向客户端发送哪些文件和目录,客户端只检查返回的对象名称的正确性,这在客户端没有适当检查的情况下,允许服务器传输与请求的文件名不同的其他文件名。

SFTP没有这些问题,但是不支持“~/”等特殊路由的扩展。 为了解决这个差异,在之前版本的 OpenSSH 中,在 SFTP 服务器实现中提出了一个新的 SFTP 扩展来公开 ~ / 和 ~ 用户 / 路径。

最后 如果您有兴趣了解更多信息 关于这个新版本,您可以查看详细信息 通过转到以下链接。

如何在Linux上安装OpenSSH 8.8?

对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。

这是因为新版本尚未包含在主要Linux发行版的存储库中。 要获取源代码,您可以从 以下链接.

完成下载, 现在,我们将使用以下命令解压缩该软件包:

tar -xvf openssh-8.8.tar.gz

我们输入创建的目录:

cd openssh-8.8

Y 我们可以用 以下命令:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。